山丽网安：电商与快递 一个信息安全不得不说的故事..doc

山丽网安：电商与快递 一个信息安全不得不说的故事 每个人的人生中都或多或少会有那么点故事，在信息时代中，有两个事物不断纠葛也发展出了“意想不到”的故事。那就是信息时代的“宠儿”——电商与快递之间的故事。原本两者通力合作，在信息技术和网络的推波助澜下可以说是“蒸蒸日上”。但是在他们之间总有着一层层阴影——那就是信息安全问题。而围绕着信息安全的恩怨纠葛，电商与快递业产生一个令人十分担忧的问题——用户的信息到底是怎么泄漏的？带着这份疑问，就让信息安全领域的防护专家山丽网安带您一同前去了解一下这个电商与快递之间不得不说的故事吧 一个淘宝卖家的双重身份 王明途（化名）混迹淘宝已有五年，经他手的店铺少说也有四五个，每天除了忙着自己的淘宝店招呼顾客想方设法招揽生意外，他还有着另一重身份——售卖快递单号网站的客服。 和其他草台班子不同，王明途所在的这家售卖快递单号网站在圈内名气很大，有自己拿单号信息的渠道专门售卖圆通单号，每天固定2万-4万的单号量，而且保证质量，如果买到的单号已经被快递公司扫描，可以通过QQ直接找王明途投诉。为了应对年底“双11”、“双12”，这家网站还特意升级了服务器，按照王明途的话说，这个网站“自称业内第二，没人敢称业内第一”。 在圆通官方宣布内查、上海市公安局介入48小时后，不少买卖单号网站被关停，市面上几乎已经没有新单号可循。不过，王明途所在的这家网站却“幸免于难”，这也让网站的流量瞬间翻倍，经常卡到上不去，王明途的客服QQ也几近崩溃。 每当有开店的新人前来询问如何买单号如何刷单，王明途总会让对方把自己的淘宝店发来让他看看，聊几句如何经营好店铺，同时也是在给对方“验明正身”是不是真的淘宝商户。 在王明途看来，如果说开淘宝店是一个游戏，那么刷单就是外挂，尝试了一次之后就会像吸毒一样离不开。面对这些忙着刷单的人，王明途有时也会提醒，“刚开始做淘宝就应该亏点，一步一个脚印，但现在太多人不懂得这个道理，忙着刷单”，但收效甚微。 也正是这些人让王明途和他所在的网站有钱可赚，按照这家网站上广告的说法“月入千元很轻松”。不过，王明途表示通过单号赚的钱不多，大头是当代理靠下线商家充值拿到的提成。“我们相当于传销‘人贩子’，一层一层发展下去，人多卖得快而且这些人也能提供不少单号。” 刷单不一定靠网站 在圆通发布的公告中称，截至24日下午，倒卖圆通快递单号的不法网站已全部关停，但实际上即便网站没了，快递单号依旧照样贩卖。 除了王明途所在的网站外，北京商报记者通过58同城查询到10余条快递单号售卖信息，其中不乏已经通过个人认证、企业认证的用户兜售快递单号信息，其中置顶的一条正是此次事件中的主角圆通。 据业内知情人士透露，买卖单号的网站只是这条灰色产业链的冰山一角，买卖单号并不全靠网站，还有其他更隐蔽的渠道，比如由买卖双方组成的单号买卖QQ群；快递员和淘宝卖家的单线联系邮件、短信甚至微信都可成为滋生单号交易的温床。 北京商报记者通过QQ查找的“找群”功能发现涉及快递单号售卖的相关群有数百个之多，北京商报记者以购买者的身份进入数个涉及快递单号交易的QQ群，虽然圆通内查堵漏，但群内“长期出售圆通单号，0.6元一单”的叫卖声和求购消息依旧持续刷屏。 不过，圆通的整治并非没有效果，在北京商报记者所加的QQ群中，有卖家直言最近单号相对紧张，但卖家表示“等几天，过这段时间就会好的”。 千疮百孔信息泄露难堵死 目前，快递企业所能掌握的信息大致分为电子信息和纸质信息两类，其中，电子信息是泄露的重灾区，而此次圆通大范围泄露的正是这一部分。 国内某知名快递公司相关负责人表示，目前行业发展并不完善，圆通可能会有多个泄露源，从目前“号贩子”所提供的信息看，所泄露的都是快递面单的电子信息，信息排列格式与圆通去年上线的金刚系统相符。 该负责人表示，目前快递行业所涉及的电子信息分为两类，在网上售卖的快递面单详细信息属于批量导入信息，快递公司为了加快效率，要求淘宝卖家将面单信息的电子版直接通过淘宝后台、邮件、QQ等渠道推送，“这种信息十分详尽，能够具体到几门几单元，最受买家欢迎，但也是对消费者安全威胁最大的”。 了解故事背后的真相 加密防护才是硬道理 虽然了解这个故事之后，我们对于个人的信息安全充满了恐慌，故事背后带来的关于电商和快递公司对于数据安全防护的不作为也让我们担心不已。但是在这种恐慌的阴影之下我们也必须了解，这些东西都是冲着数据本身而去的，所以要应对也是十分简单的，那就是两步走——去要求，去使用。 去要求的是电商和快递公司对于数据隐私用安全软件进行防护，而去使用则是指用户对于自身敏感的数据主动去使用安全软件进行防护。所以两者又可以结合到一点上，对于数据我们必须采用针对性的安全软件进行防护。而现今面对多样的安全环境和多样的加密需求，采用拥有国际先进的多模加密技术的